サイバー犯罪には様々な種類があり、その多くは金銭目的です。フィッシング詐欺師、詐欺師、マルウェア操作者といった犯罪者が最も目立ちますが、サイバー犯罪経済において重要な役割を果たしながらも、非常に目立たない存在も存在します。それは、密売人です。
セコイアの新しい報告書は密売人の活動に光を当てている。
トラファーとは何ですか?
トラファー(ロシア語の「Траффер」(労働者)とも呼ばれる)は、インターネット ユーザーのネットワーク トラフィックを、自分が操作する悪意のあるコンテンツ(ほとんどの場合、マルウェア)にリダイレクトするサイバー犯罪者です。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
トラファーは通常、チームを組んでウェブサイトを侵害し、トラフィックを誘導して訪問者を悪意のあるコンテンツに誘導します。また、同じ目的のためにウェブサイトを構築することもあります。ロシア語圏のサイバー犯罪フォーラムを監視してきたSekoiaの研究者が明らかにしたように、トラファーのエコシステムは高度なスキルを持つ人材と新人の両方で構成されており、サイバー犯罪初心者にとって格好の入り口となっています。
特に「lolz Guru」アンダーグラウンドフォーラムでは、トラファーチームが絶えず新規作成されており、2022年には毎月5~22の新しいトラファーチームが作成されています(図A)。
図A
一度作成されたトラッファーチームは、進化や再編、他のチームとの合併、あるいはゼロからのリスタートを繰り返す可能性があるため、トラッファーチームの存続期間を評価することは困難です。あるトラッファーチームの管理者は、600人規模のトラッファーチームを作成して売却するまでに3,000ドルの費用がかかったと述べています。「ムーンチーム」と名付けられたトラッファーチームは、2022年5月に2,300ドルで売却されました。
このようなチームの典型的な組織は非常に単純です。1 人以上のチーム管理者がトラファーを率いますが、マルウェアのライセンスと、トラファーによって収集されたログの分析と販売も処理します (図 B )。
図B
トラファーチームの方法とは何ですか?
トラファーの最大の活動は、インターネットユーザーをマルウェアにリダイレクトすることです。その90%は情報窃取型マルウェアです。マルウェアによって盗まれる情報は、オンラインサービスの有効な認証情報、メールボックス、暗号通貨ウォレット、クレジットカード情報などです。これらはすべてログと呼ばれます。
チーム管理者は、金銭的利益を得るためにこのデータを悪用する他のサイバー犯罪者にこれらのログを販売します。
管理者は、必要なマルウェアを処理し、マルウェア開発者にライセンスを購入してチームに広める責任も負います。
管理者は、チーム メンバーにさまざまなリソースを含むキットも提供します。
- 常に更新されるマルウェア ファイル (「マルウェア ビルド」とも呼ばれます) が使用可能です。
- マルウェア ファイルを暗号化または難読化するために必要な暗号化サービスまたはツール。
- トラファラー向けのマニュアルとガイドライン。
- インフラストラクチャへの可視性と接続数を向上させる検索エンジン最適化サービス。
- チームメンバー間で簡単にコミュニケーションできる Telegram チャンネル。
- 新しいマルウェア ファイルの共有や統計の作成などのタスクを自動化する Telegram ボット。
- 管理者が販売するログの有効性を保証するための専用ログ分析サービス。
一度採用されると、トラファーはマルウェアファイルを入手し、侵害されたウェブサイトからのリダイレクトを介して配布できるようになります。彼らは、展開したマルウェアから収集した情報の質と量に基づいて報酬を受け取ります。
トラファーは、管理者が主催するコンテストに頻繁に参加させられます。優勝者は追加の賞金と、メンバーシップのプロフェッショナル版へのアクセスを獲得します。このアクセスにより、2つ目のマルウェアファミリーの使用、より良いサービスやボーナスの獲得が可能になります。
各トラファーは、チームの要件に準拠している限り、独自の配信チェーンを使用します。
Sekoia氏によると、一般的な配信方法には、ブログやソフトウェアのインストールページを装ったウェブサイトや、検出を回避するためにパスワードで保護されたアーカイブファイルを配信することが含まれます。経験豊富なトラファーは広告プラットフォームに関する深い知識を持っており、それらのサービスを通じてウェブサイトのプロモーション効果を高めています。攻撃者にとって、この種の配信方法の欠点は、一般的に多くの被害者に届くため、他の配信方法よりも早く検出されることです。
911感染連鎖
Sekoia が監視しているトラファラーチームの大部分は、実際には地下フォーラムで「911」と呼ばれる手法を悪用しています。
この手口は、盗んだYouTubeアカウントを利用して、攻撃者が管理するマルウェアへのリンクを配布することです。攻撃者はそのアカウントを利用して動画をアップロードし、訪問者にファイルをダウンロードさせ、Windows Defenderを無効化して実行させます。多くの場合、動画の内容はソフトウェアのクラッキングに関するものです。動画では手順が説明され、クラッキングされたソフトウェアのインストール、ライセンスキーの生成、様々なビデオゲームでのチート操作を行うためのツールへのリンクが提供されています。これらのファイルが実行されると、コンピュータがマルウェアに感染します。
マルウェアは通常、Mega、Mediafire、OneDrive、Discord、GitHubなどの正規のファイル配信サービスに保存されます。ほとんどの場合、パスワードで保護されたアーカイブファイルであり、その中にスティーラーマルウェアが含まれています(図C)。
図C
トラファーはどのようなマルウェアを使用していますか?
Sekoia が観察したところ、トラファーが最もよく使用する情報窃盗マルウェアは、Redline、Meta、Raccoon、Vidar、Private Stealer です。
Redline マルウェアは、Web ブラウザー、暗号通貨ウォレット、ローカル システム データ、および複数のアプリケーションから資格情報にアクセスできるため、最も効果的な窃盗マルウェアであると考えられています。
Redlineは、トラファが配布するサンプルに固有のボットネット名を関連付けることで、管理者がトラファの活動を容易に追跡することを可能にします。Redlineの使用によって盗まれたデータは、複数のマーケットプレイスで販売されています。Metaは新しいマルウェアであり、Redlineのアップデート版として宣伝されており、一部のトラファチームにとって最適なマルウェアとなっています。
人身売買業者から身を守る方法
この脅威はマルウェアとの関連性が高く、企業だけでなく個人も標的となる可能性があります。企業のすべてのエンドポイントとサーバーにセキュリティソリューションとウイルス対策ソリューションを導入してください。また、オペレーティングシステムとすべてのソフトウェアを最新の状態に保ち、パッチを適用することで、一般的な脆弱性を悪用した感染を防ぐ必要があります。
ユーザーはフィッシングの脅威を検知し、クラックされたソフトウェアやツールの使用を絶対に避けるよう訓練を受けるべきです。可能な限り多要素認証を使用する必要があります。窃盗犯は、盗まれた認証情報の有効性を確認する際に、2つ目の認証チャネルがなければ使用できないと判断された場合、認証情報を破棄してしまう可能性があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
